ماشین لباسشویی شما گوش دارد!

"سلام، کمکی از دست من بر می آید؟"
"نه ممنون، فقط دارم نگاه می‌کنم."

این البته یک دروغ بود. فقط مشغول بررسی نیستم بلکه سعی می کنم که یک ماشین لباسشویی هوشمند که در فروشگاه لوازم برقی به نمایش گذاشته شده را، وادار به فاش کردن عمیق ترین اسرار خود کنم.

برای اینکه دستگاه نشان بدهد که این مدل چه گونه به اینترنت بی سیم وصل می شود، باید تعدادی از دکمه های صفحه کنترل را هم زمان با هم فشار داد. اما برای این کار باید چند دکمه را به مدت پنج ثانیه نگه دارم و هر مرتبه یک خانم یا آقای فروشنده که از آن دور و بر رد می شود، می آید و مجبور می شوم دست از کار بکشم.

شاید راه بهتری برای سر در آوردن از اسرار دستگاه های هوشمند وجود دارد. اما من به تازگی یک ماشین لباس شویی خریده ام که از طریق یک برنامه از سلامت خود خبر می دهد. این موضوع کنجکاوی مرا تحریک کرده است که درباره امنیت این دستگاه ها اطلاعاتی کسب کنم.

بی شک امروزه، تعداد بیشتری از وسایل خانگی، که در ابتدا از کره شمالی هم انزوا طلب تر بودند، پر حرف شده‌اند و این روده درازی را بیشتر به کمک نرم افزار ها انجام می دهند. با در نظر گرفتن اینکه روترهای خانگی به راحتی به ابزاری برای کلاهبرداری بدل می شوند، برای من جالب است که بدانم که آیا آینده ماشین های لباس شویی هوشمند، اجاق ها، ماشین های خشک کن و یخچال ها هم اینگونه خواهد بود؟
حمله با اَپ

از مارک اشلوسر، پژوهشگر ارشد شرکت امنیتی رَپید سون (Rapid7) درباره راه های بررسی امنیت این دستگاه ها پرسیدم. او در جوابم گفت: "برو سراغ فایل اِی پی کِی (apk.) آن‌ها."

منظور او از ای پی کی، فایل اجرایی آندروید برای اپلیکیشن است. طبیعت نسبتاً باز آندرویدِ گوگل امکان دانلود و مهندسی معکوس اپلیکیشن و برملا کردن محتوای آن را فراهم می کند. این کار را که می کنم متوجه می شوم که تمام سال هایی که به تعمیر کاری و سر و کله زدن با کامپیوتر و برنامه های کامپیوتری گذرانده ام باعث نشده که مهندس معکوس ماهری شوم.

اکنون درک می کنم که کد برنامه چگونه به تابع های مختلف تقسیم شده اما ماهیت مبهم زبانی که به آن نوشته شده و جاوا، تلاش های مرا برای فهم آن که هر بخش دقیقاً چه کار می کند، خنثی کرد.

آقای اشلوسر به من اطمینان داد که این نوع تجزیه و تحلیل برای همه مشکل است.

او می گوید: "جاوا یک کتابخانه استاندارد بزرگ و تعداد زیادی ابزار دارد که می توان از میان آنها انتخاب کرد. علاوه بر این، در آندروید "کل اِس دی کِی" (کیت توسعه دهندگان نرم افزار) گوگل نیز در اختیار کاربر قرار دارد."

همچنین به گفته او، هیچ اجباری برای اینکه یک برنامه نویس کد خود را چگونه سازمان بدهد وجود ندارد.

"این کار اختیاری است و ساختار استانداردی وجود ندارد."

با توجه به گفته های او، نظر استفان تامکینسون، محقق ماهر شرکت امنیتی گروه اِن سی سی (NCC)، را نیز جویا شدم. بر اساس مشاهدات او، این برنامه کمی شلخته نوشته شده است. کد داخل آن هم مربوط به ماشین لباس شویی و هم برای خدمات سیستم های تهویه مطبوع است. پسورد های آن در بطن برنامه نوشته شده و با یک سیستم تعمیر و خدمات در ارتباط است که می تواند ناامن باشد.
"مشکوک"

بهترین راه برای دانستن اینکه برنامه، و به مفهوم ضمنی، ماشین لباس شویی می تواند به صاحبان خود خیانت کند یا نه، تحت نظر گرفتن اطلاعاتی است که برای ارتباط دستگاه با مرکز خدمات یا دفتر مرکزی به روی اینترنت فرستاده می شود.

دانیل اوکانر این کار را به تازگی با دستگاه تهویه مطبوع سامسونگ خود، که توسط ارتباط بی سیم یک گوشی هوشمند یا لپ تاپ قابل کنترل است، انجام داده است. کمی پس از نصب دستگاه، او متوجه شد که توسط هیچ چیز جز یک گوشی هوشمند نمی تواند آن را کنترل کند. از این رو تصمیم گرفت مبادلات اطلاعات آن را بررسی کند.

او به بی بی سی گفت: "معلوم نبود چرا اما مشکوک به نظر می رسید. این موضوع توجه مرا به خود جلب کرد و باعث شد که من در جهت فهمیدن چگونگی کارکردن این دستگاه تلاش کنم."

او با بررسی عبور و مرور اطلاعات در شبکه بی سیم خانه، متوجه شد که دستگاه به طور منظم اطلاعات خود را به وب سایت خدماتی سامسونگ می فرستد. او فهمید که دستگاه شناسه های منحصر به خود را می فرستد و بی آنکه او بخواهد ارتباط برقرار می شود.

آقای اوکانر بالاخره مشکلی که سبب می شد دستگاه تهویه مطبوع تنها با یک گوشی هوشمند ارتباط برقرار کند را پیدا کرد و سعی کرد راه های بیشتری برای برقراری ارتباط با این دستگاه های هوشمند پیدا کند.

اما او تنها نیست. تعداد پروژه های اجرا شده توسط افراد غیرحرفه ای و یا شرکت های تازه تاسیس که در صددند برنامه‌هایشان به عنوان هماهنگ کننده مرکزی دستگاه هایی مورد استفاده قرار بگیرد، رو به افزایش است. بسیاری از دستگاه های "اینترنت اشیا" تنها با محصولات همان تولید کننده ها گفتگو می‌کنند. برای همین بدون کنترل کننده مرکزی، بیم آن وجود دارد که خانه هایمان پر از اینترنت های گوناگون اشیا متفاوت شود به گونه ای که کنترل آنها تبدیل به کابوسی شود.
گم شدن در داده‌ها

با وجود آن که من ماشین لباس شویی هوشمند ندارم ولی به تازگی با دان کاتبرت، تحلیلگر یک شرکت امنیتی، آشنا شده ام که صاحب چنین دستگاهی است. حتی جالب تر اینکه، او برنامه های کنترل این ماشین و دستگاه های دیگر مانند ماشین خشک کن را بررسی کرده است که بفهمد که آماده کردن این برنامه ها برای خراب کاری تا چه اندازه ساده است.

تحقیقات او نشان می دهد که سیستم های کنترل مبتنی بر اپلیکیشن برای شرکت ها اهمیتی ثانویه داشته و به نظر می رسد که شرکت های محدودی حاضر شده اند برای اطمینان پیدا کردن از امنیت برنامه پول لازم را خرج کنند.

او می گوید که بررسی ها نشان می دهد که کد داخل تعدادی از این برنامه ها از جاهای دیگر برداشته شده و به طور نگران کننده ای از فناوری هایی مانند یو پی ان پی (UPnP)، که آسیب پذیر به شمار می‌آیند، استفاده شده است.

البته او معتقد است که درحال حاضر، خطر ناشی از این دستگاه ها تا حد زیادی محدود به حیطه نظری است.

به گفته او ممکن است که این وضعیت به زودی تغییر کند.

او می گوید: "اگر بین دو تا پنج سال آینده را در نظر بگیریم، تمایل زیادی برای داشتن دستگاه هایی که با اینترنت کار می کنند بوجود خواهد آمد. این تمایل در ابتدا تنها شامل دستگاه هایی با کاربری روزمره مانند ماشین های لباس شویی و یخچال می شود. سپس ابزار های دیگر هم وارد بازار می شوند و وقتی که با آنها سر و کار دارید، مشکل درز کردن اطلاعات پیش می آید."

با داشتن دستگاه هایی که به راحتی به هم وصل می‌شوند و اطلاعات را مبادله می کنند، گرفتن اطلاعات لازم برای ربودن مشخصات قابل فروش برای دزدان سایبری ساده تر می شود. مهاجمان می توانند از یک یخچال ناامن به عنوان وسیله ای برای دسترسی به لپ تاپ یا تبلت شما که در آن شناسه ورود، شماره کارت اعتباری، و دیگر مشخصاتتان قرار دارد استفاده کنند.

به عقیده آقای کاتبرت، خانه ای پر از دستگاه های هوشمند، حاوی اطلاعات بسیار مفید و ارزشمند درباره ساکنان خود است. هم اکنون نیز شبکه‌های اجتماعی از اطلاعاتی که مردم هنگام به روز رسانی پست های خود "دو دستی تقدیم می کنند" سود می برند. اطلاعات معمولی مربوط به شیوه زندگی افراد احتمالاً طعمه جذابی برای انواع شرکت ها است.

دان کاتبرت می گوید: "به عنوان یک مصرف کننده می خواهم بدانم این دستگاه ها چه کار می کنند. فکر می‌کنم این حق من است."